мы не пользуемся, клиенты не жаловались пока

А с sip то что ?

# model = RBLHGG-60ad
# serial number = CF340C220B6D
/interface bridge
add admin-mac=48:8F:5A:CE:3E:E0 auto-mac=no comment=defconf name=bridge protocol-mode=none
/interface w60g
set [ find ] disabled=no frequency=64800 mode=bridge name=wlan60-1 password=5ZDP put-stations-in-bridge=bridge ssid=vet
/interface w60g station
add mac-address=48:8F:5A:CE:3E:E1 name=wlan60-station-1 parent=wlan60-1 remote-address=48:8F:5A:CE:38:F9
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan60-1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.88.3/24 comment=defconf interface=bridge network=192.168.88.0
add address=172.16.0.148/24 interface=bridge network=172.16.0.0
/ip firewall address-list
add address=172.16.0.0/12 list=manage
/ip firewall filter
add action=accept chain=input src-address-list=manage
add action=reject chain=input dst-port=22,23,80,8291 protocol=tcp reject-with=icmp-network-unreachable
/ip route
add distance=1 gateway=172.16.0.1

Что в подобной конфигурации может мешать прохождению траффика через бридж с включенным rstp?
включаю rstp - потери до слейва, выключаю - всё ок
на слейве аналогичный конфиг

Уточню, у него этих моделей огород, у меня то что есть обновилось и уже неделю пока без сбоев... Но вот на 2011 авая перестала видеть сервер, откатил и все заработало....

может missconfig где?

Меня вот это умиляет. Payload 2-го GRE составляет 22 нулевых байта, которые не учтены в размере оригинального IP-пакета. Прошивка последняя.

Добрый день, коллеги
Подскажите, баг или фича:
Указываю в мак сервере адрес лист с бриджом, мак-телнет не работает
Указываю в мак сервере адрес лист с интерфейсом, например ether2, мак-телнет работает

Раньше вроде бы такого поведения не замечал....

Какой размер GRE keealive пакета?

Если весь фрейм 62 байта, то GRE keeaplive там 0 размера должен быть.

Так хочу клиенту отдать только dns микротика (пары по vrrp) а уже он всё в гугл, а локальный домен в контроллер домена. Нашел скрипты, буду пробовать

Подскажите, keepalive в ipip на микротике по какому признаку проверяет недоступность противоположного пира? Он там посылает что-то , или просто по получению данных?

он отправляет пустой инкапсулированный  ipip внутри инкапсуляции ipip, src и dst адреса перевёрнуты относительно своего туннеля, тем сам  когда принимающая сторона получает такой пакет она просто маршрутизирует его основываясь на обычной таблице маршрутизации. в итоге такой пакет возвращается в разобранном виде (без вложенной инкапсуляции), и порождает просто RX пакет что и является признаком живого туннеля.

подскажите, где почитать про проброс мультикаста через eoip

При этом пакет, поскольку возвращается, 'основываясь на обычной таблице маршрутизации' (с соответствующим понижением TTL), не требует включенного keepalive на 'этой' стороне. Другими словами, ответ на keepalive будет всегда, а его включение сдвух сторон будет генерировать двойной трафик.

Также я писал выше об ИМХО баге: в моём тесте RB750 и hAP lite первый возвращает исходный деинкапсулированный пакет, а вот второй после GRE-заголовка пихает 22 байта, не отражая их в размере IP-пакета.

На скринах ответы первого и второго.

или это невозможно?
Mikrotik поддерживает MVR?

спасибо, видимо фаер у меня режет такой форвард

откуда 22 байта?

Сам в шоке. В разблюдовке Wireshark'а их не видно, видно только в содержимом пакета. Продемонстрировать? 😀

давайте